基于Linux系统的包过滤防火墙(2)

　　例如：若规则脚本的文件名为/etc/fw/rules,则可以在启动脚本/etc/rd.d/init.d/rc.local中加入下面的代码：

　　if[-x /etc/fw/rules];then /etc/fw/rules;fi;

　　这样，机器每次启动时即可执行该规则脚本。

　　如果使用此种方式，建议使用ntsysv命令关闭系统的iptables守护进程。

　　2.3 iptables命令使用举例

　　2.3.1 链的基本操作

　　（1）清除所有的规则。通常在开始配置包过滤防火墙之初清除所有的规则，重新开始配置，以免原有的规则影响新的设定。使用如下命令进行：

　　1）　　　　清除预设表filter中所有规则链中的规则。

　　＃iptables -F

　　2)清除预设表filter中使用者自定义链中的规则。

　　＃iptables -X

　　3)将指定链所有规则的包字节记数器清零。

　　＃iptables -Z

　　(2)设置链的默认策略。一般地，配置链的默认策略有两种方法。

　　1）　　　　首先允许所有的包，然后再禁止有危险的包通过防火墙。即“没有被拒绝的都允许”。这种方法对于用户而言比较灵活方便，但对系统而言，容易引起严重的安全问题。

　　为此，应该使用如下的初始化命令：

　　#iptables -P INPUT ACCEPT

　　#iptables -P OUTPUT ACCEPT

　　#iptables -P FORWARD ACCEPT

　　2）　　　　首先禁止所有的包，然后再根据需要的服务允许特定的包通过防火墙。即“没有明确允许的都被拒绝”。这种方法最安全，但不太方便。为了使得系统有足够的安全性，一般采用此种策略进行iptables防火墙的配置。

　　为此，应该使用如下的初始化命令：

　　#iptables -P INPUT DROP

　　#iptables -P OUTPUT DROP

　　#iptables -P FORWAED DROP